DDoS के खिलाफ लड़ाई का प्रैक्टिकल एपिसोड

एक युवक को विषयगत संसाधन पर शपथ लेने का बहुत शौक था। और इसके लिए उन्हें नियमित रूप से प्रतिबंधित किया गया था। और एक बार वे ले गए, और निर्वस्त्र नहीं हुए।

युवक नाराज था, और उसने बदला लेने का फैसला किया। मैंने पैसे बचाए, इसे लिया और DDoS संसाधन का आदेश दिया। सौभाग्य से, यह रूसी संघ में आपराधिक नहीं है, दुर्भाग्य से, एक दंडनीय कार्य।

DDoS, जिसमें युवा व्यक्ति संचय करने में कामयाब रहे, ने बॉट्स की सेना को उसी HTTP अनुरोधों को भेजने में शामिल किया।

हमेशा की तरह, picky व्यवस्थापक के लिए कोई संतोषजनक खोज समाधान नहीं थे जो बस HTTP लॉग को पढ़ेंगे और उन पते को बाहर कर देंगे जिन्हें प्रतिबंधित करने की आवश्यकता है।
इसलिए, मुझे अपने स्वयं के लुनपार्क का निर्माण करना पड़ा, इस और इन लोगों के साथ। कामरेड मेटके एक आईपी को प्रतिबंध के लिए वास्तविक तर्क लिखने में कामयाब रहे, और आपके विनम्र नौकर ने शेष बंधन को स्थापित किया।

जो (संभवतः) हेमिंग्वे को मूल में पढ़ते हैं वे तुरंत यहां जा सकते हैं । वहां आप कोड भी पा सकते हैं।



बाकी सभी और सिर्फ आलसी के लिए - मैं यहां जारी रहूंगा। क्षमा करें, कोई चित्र नहीं। लेकिन सब कुछ मामला है ...

log2ban

Log2ban कैसे काम करता है

बॉट्स का पता लगाने के लिए, सर्वर के प्रत्येक अनुरोध को अनुरोध गुणों (उदाहरण के लिए, आईपी पते और URL: "1.2.3.4/login.php") से एक पहचानकर्ता के साथ चिह्नित किया गया है। जब एक विशिष्ट आईडी के साथ कॉल की संख्या निर्धारित सीमा तक पहुंच जाती है, तो डिटेक्शन टाइम विंडो के भीतर, क्लाइंट आईपी को एक बाहरी कमांड (BAN_IP_COMMAND) के तर्क के रूप में पारित किया जाता है या पैकेट ब्लॉकिंग के लिए एकत्र किया जाता है (देखें "ब्लॉकिंग लिस्ट" देखें)।

Log2ban वास्तविक समय में सर्वर लॉग पर काम करता है, और लॉग आर्क विश्लेषक के रूप में इस्तेमाल करने का इरादा नहीं है। आपको स्वयं को अवरुद्ध करने के लिए फ़ायरवॉल टूल का उपयोग करना चाहिए (उदाहरण में ipset के लिए सेटिंग्स और स्क्रिप्ट संलग्न हैं)।

स्क्रिप्ट वास्तविक समय में लॉग पढ़ता है, उदाहरण के लिए, "पूंछ-एफ" या एक समान कमांड, जैसा कि कॉन्फ़िगरेशन में संकेत दिया गया है। यदि आदेश EOF भेजता है, तो log2ban बाहर निकल जाएगा। यदि कमांड मानक उत्पादन के लिए लॉग प्रविष्टियों को लिखना बंद कर देता है, तो लॉग 2बान प्रक्रिया हमेशा के लिए लटक जाएगी।

समायोजन

डिफ़ॉल्ट रूप से, Apache / Nginx लॉग टेम्पलेट समर्थित है। प्रारूप में किए गए परिवर्तन चर ACCESS_LOG_RECORD_FORMAT में परिलक्षित होने चाहिए।

आप खोज नियमों को भी कॉन्फ़िगर कर सकते हैं। सबसे महत्वपूर्ण पैरामीटर TOLERANCE_MARGIN (विंडो में हिट की संख्या) है। दूसरा सबसे महत्वपूर्ण WINDOW_SIZE (स्लॉट्स में विंडो का आकार) और SLOT_INTERVAL हैं। (सेकंड में स्लॉट का आकार) एक छोटा अंतराल और बढ़े हुए आकार का अर्थ है बेहतर पता लगाना (और खराब प्रदर्शन)।

आईडी की गणना के लिए नियमों को बदलने के लिए, create_server_hit_id फ़ंक्शन बदलें।

लॉग में एक पंक्ति को लंघन के लिए नियमों को बदलने के लिए, स्किप फ़ंक्शन को बदलें। डिफ़ॉल्ट रूप से, स्थिर फ़ाइल प्रकारों के अनुरोधों को अनदेखा कर दिया जाता है।

सूची अवरुद्ध करना

सूची लॉकिंग का उपयोग करने के लिए, डेटाबेस को चालू करें, लॉग को थोड़ी देर के लिए संसाधित करें और फिर चलाएं

python log2ban.py print (banned | allbanned)

संग्रहित IP पतों को stdout में प्रिंट करें। "प्रतिबंधित" केवल नए आईपी पते को प्रिंट करेगा (आखिरी प्रिंट पर प्रतिबंध लगाने के बाद से), जबकि "ऑबेंडेड" प्रत्येक प्रतिबंधित आईपी को प्रिंट करेगा, चाहे वह पहले मुद्रित हो या न हो।

कुछ दिनों के बाद, IP पतों की सूची प्राप्त करने के लिए उन्हें प्रतिबंधित किया जाएगा:

python log2ban.py print (unbanned)

यह कमांड वर्तमान के दौरान प्रतिबंधित किए गए प्रत्येक IP को प्रिंट करेगा - DAYS_UNBAN अवधि और डेटाबेस से रिकॉर्ड हटा देगा।

उत्पादकता

log2ban अपने आप में काफी तेज है, लेकिन क्वेरी प्रोसेसिंग बहुत तेजी से बढ़ते लॉग के लिए एक समस्या हो सकती है। स्थिर संसाधनों जैसे चित्र, स्क्रिप्ट और शैली पत्रक के लिए अनुरोधों के पंजीकरण को अक्षम करने पर विचार करें। आगे के अनुकूलन में डिफ़ॉल्ट प्रारूप का उपयोग करने के बजाय एक सरल लॉग प्रारूप (CSV) शामिल हो सकता है, जो कि नियमित अभिव्यक्ति के लिए अपाचेलॉग मॉड्यूल द्वारा संसाधित किया जाता है।

स्थापना और फ़ायरवॉल एकीकरण

यह प्रक्रिया डेबियन निचोड़ 6.0 के लिए वर्णित है, अन्य वितरणों के लिए यह भिन्न हो सकती है।

Ipset स्थापित करें:

sudo apt-get install module-assistant xtables-addons-source
sudo module-assistant prepare
sudo module-assistant auto-install xtables-addons-source
depmod -a


जांचें कि यह काम करता है।
ipset -L


यदि आपको एक गैर-खाली उत्तर मिलता है, उदाहरण के लिए, त्रुटियों 'मॉड्यूल ip_set नहीं मिला', तो ipset सही तरीके से स्थापित नहीं है। आपकी विशिष्ट स्थापना के लिए इस समस्या के समाधान के लिए Google। सामान्य विचार यह है कि ip_set कर्नेल मॉड्यूल को स्थानीय रूप से संकलित किया जाना चाहिए और कर्नेल में लोड किया जाना चाहिए।

MongoDB, पायथन और पीआईपी स्थापित करें:


sudo apt-get install mongodb python-pip


अजगर के लिए मॉड्यूल स्थापित करें:

sudo pip install apachelog pexpect pymongo


Log2ban रिपॉजिटरी को क्लोन करें:

git clone git://github.com/unicodefreak/log2ban.git


Log2ban.py फ़ाइल में, यदि आवश्यक हो तो निम्न कमांड को कॉन्फ़िगर करें।

ECHO_LOG_COMMAND = "tail -f /var/log/nginx/access.log"


/Etc/logrotate.d/nginx पर निम्न पाठ जोड़ें:

/var/log/nginx/*log {
daily
rotate 10
missingok
notifempty
compress
sharedscripts
postrotate
[ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid`
/etc/init.d/log2ban stop
/etc/init.d/log2ban start
endscript
}


स्क्रिप्ट स्थापित करें

sudo mkdir /opt/log2ban
sudo cp log2ban/log2ban.py /opt/log2ban/
sudo cp log2ban/ipset-control.sh /opt/log2ban/
sudo cp log2ban/init-scripts/log2ban-debian.sh /etc/init.d/log2ban
sudo chmod +x /etc/init.d/log2ban
sudo chmod +x /opt/log2ban/ipset-control.sh


MongoDB लॉन्च करें
sudo /etc/init.d/mongodb start


Log2ban चलाएँ

sudo /etc/init.d/log2ban start


रूट क्रोन स्क्रिप्ट में निम्न कमांड जोड़ें, उदाहरण के लिए, हर 5 मिनट में पते को अपडेट करने के लिए
*/5 * * * * /opt/log2ban/ipset_control.sh update


इसे कुछ समय तक काम करने दें। जांचें कि क्या कोई आईपी अवरुद्ध है:
sudo ipset -L


यदि सूची सत्य की तरह दिखती है, तो अंतिम चरण रहता है - iptables कनेक्ट करने के लिए।

एक पंक्ति जोड़ें:

-A INPUT -m set --match-set autoban src -j DROP

/etc/firewall.conf फ़ाइल में और निष्पादित करें

sudo /etc/init.d/networking restart


सब कुछ, आप शैंपेन खोल सकते हैं ... और अन्य पेय स्वाद के लिए।